anonymous@RULINUX.NET~# | Last login: 2024-11-23 09:35:05 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Новости - Security | [RSS] |
Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility.
После симуляции уязвимости в CGI-режиме PHP, исправленной в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений.
За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях.
Bod(*) (2013-12-18 18:04:50)
Mozilla/5.0 (Windows NT 5.1; rv:26.0) Gecko/20100101 Firefox/26.0
Подтверждено: Bod(*) (2013-12-18 18:05:15)
|
|
|
Скрыть
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов>> под видом PDF-файла был загружен perl-скрипт
Ax-Xa-Xa(*)(2013-12-18 18:25:12)
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов>Затем скрипт подключился к одному из IRC-каналов...
|
Скрыть
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов> не знал, что сейчас модно рулить ботнетами по IRC.
Ax-Xa-Xa(*)(2013-12-18 18:45:34)
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверовIRC прошлый век вроде, я еще в 2011м смотрел доклады с какой-то секуро-направленной конфы по поводу ботнетов, так уже тогда рулила децентрализация. anonymous(*)(2013-12-18 19:05:01)
Mozilla/5.0 (X11; Linux x86_64; rv:25.0) Gecko/20100101 Firefox/25.0 |
Скрыть
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверовСейчас ими рулят с помощью твиторов и прочих втентакликов. ИРЦ ввиду малоиспользуемости за давностью лет можно и поблочить, а с этой херотенью тяжко приходится. anonymous(*)(2013-12-20 17:46:42)
Mozilla/5.0 (X11; Linux i686 (x86_64)) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11 |
|
|
|
Этот тред читают 2 пользователя: |
Анонимных: 2 Зарегистрированных: 0 |
Re:Эксперимент по изучению деятельности вредоносного ПО, нацеленного на поражение Linux-серверов
> под видом PDF-файла был загружен perl-скрипт
Отличный повод запретить perl.